Nur € 5,5 Millionen Srafe für WhatsApp. Irische DPC zeigt "Partnern" endgültig den Stinkefinger.

Nur 5,5 Mio Strafe für WhatsApp. DPC beschränkte den Umfang des Verfahrens gegen WhatsApp und klagt abermals die europäischen "Partnerbehörden".

Die irische Datenschutzbehörde (DPC)  bestätigte heute die Entscheidung des Europäische Datenschutzausschusses (EDSA), dass Meta WhatsApp-Nutzer nicht zwingen kann, der Verwendung ihrer Daten für "Serviceverbesserungen" und "Sicherheit" zuzustimmen. Die Kernpunkte der Datenverwendung für "verhaltensbezogene Werbung, für Marketingzwecke sowie für die Bereitstellung von Statistiken an Dritte und den Austausch von Daten mit verbundenen Unternehmen "wurden von der Behörde nicht behandelt - trotz einer verbindlichen Entscheidung des EDSA, dass diese Fragen untersucht werden müssen. Stattdessen verklagen die Iren nun ihre europäischen Kollegen vor dem EuGH. Die Entscheidung erging 4,5 Jahre nach den ursprünglichen Beschwerden von noyb, die sich auf Metas Umgehung der DSGVO durch eine Klausel in den Allgemeinen Geschäftsbedingungen bezogen.

• Erklärungsvideo zu Metas Umgehung (ab Dezember 2022)
• Blogpost über Entscheidungen auf Facebook und Instagram
• Originalbeschwerden von noyb aus dem Jahr 2018
• Endgültige Entscheidung der DPC (PDF)
• Entscheidung des EDSA (PDF)

Key Facts:

• Am 25. Mai 2018 reichte noyb drei Beschwerden gegen Facebook, Instagram und WhatsApp wegen erzwungener Einwilligung ein.
• Zwei Beschwerden gegen Facebook und Instragram, die im Namen eines österreichischen und eines belgischen Nutzers eingereicht wurden, wurden in der ersten Januarwoche entschieden und führten zu einer Geldstrafe von insgesamt 390 Millionen Euro.
• Die dritte Entscheidung gegen WhatsApp im Namen eines deutschen Nutzers wurde heute veröffentlicht.
• Meta hatte versucht, die in der DSGVO vorgeschriebene Einwilligung zu umgehen, indem es eine Klausel in die Allgemeinen Geschäftsbedingungen für Werbung einfügte.
• Im Dezember 2022 hob der EDSA einen früheren Entscheidungsentwurf der irischen Datenschutzbehörde auf, der die Umgehung der DSGVO durch Meta für rechtmäßig befand und forderte Änderungen an der Entscheidung zu WhatsApp sowie weitere Untersuchungen zu den Kernverstößen von WhatsApp.
• Der EDSA hat nun auch in Bezug auf WhatsApp die Entscheidung umgedreht, in großen Teilen hat die irische Behörde aber gar nicht entscheiden. Der EDSA konnte daher nur eine ordentliche Untersuchung der offenen Punkte anordnen.
• Die DPC hat nun ihre (beschränkte) Entscheidung angepasst, lehnt aber die Anordnung des EDSA ab, weitere Angelegenheiten zu untersuchen. Stattdessen verklagt sie nun den EDSA.
• WhatsApp muss nun auf eine Einwilligung wechseln, wenn sie Nutzer:innnedaten weiterhin für Produktverbesserung auswerten wollen. Für die Nutzung aus Sicherheitsgründen scheint die DSGVO andere Rechtsgrundlagen vorzusehen.

Meta wollte die DSGVO "umgehen". Die DSGVO sieht sechs Rechtsgrundlagen für die Verarbeitung von Daten vor, eine davon ist die Einwilligung gemäß Artikel 6(1)(a). Meta versuchte, das Erfordernis der Einwilligung für Tracking und Online-Werbung zu umgehen, indem es argumentierte, dass Anzeigen ein Teil des "Dienstes" sind, den es den Nutzer:innen vertraglich schuldet. Der angebliche Wechsel der Rechtsgrundlage fand genau am 25. Mai 2018 um Mitternacht statt, als die DSGVO in Kraft trat. Die "vertragliche Erforderlichkeit" nach Artikel 6(1)(b) wird in der Regel eng verstanden. Sie würde es beispielsweise einem Online-Shop erlauben, die Adresse an einen Postdienstleister weiterzuleiten, da dies für die Zustellung einer Bestellung unbedingt erforderlich ist. Meta vertrat jedoch die Ansicht, dass es einfach beliebige Elemente in den Vertrag einfügen könnte (wie z.B. personalisierte Werbung), um eine Ja/Nein-Einwilligung für die Nutzer zu vermeiden.

DPC beschränkt Fall auf "Sicherheit" und "Verbesserung der Dienste". Die Datenschutzbehörde hat das 4,5 Jahre dauernde Verfahren nun offenbar auf Randthemen wie die Rechtsgrundlage für die Verwendung von Daten zu Sicherheitszwecken und zur Verbesserung von Diensten beschränkt, während sie die zentralen Fragen zum Datenaustausch mit anderen Unternehmen von Meta (Facebook und Instagram) zu Werbezwecken ignoriert. Während die Nutzer:innen um die Verwendung ihrer Daten zur Produktverbesserung mittels Opt-in gebeten werden müssen, bleibt die Verwendung von Daten zu Sicherheitszwecken unter der DSGVO wohl legal, auch wenn dies nicht mehr in einem Vertrag enthalten ist.

Max Schrems:"Wir sind erstaunt, wie die DPC nach einem 4,5-jährigen Verfahren den Kern des Falles einfach ignoriert. Auch die verbindliche Entscheidung des EDSA wird von DPC ganz offensichtlich ignoriert. Man könnte glauben, dass die DPC endgültig alle Verbindungen zu den  anderen EU-Behörden und zu den Anforderungen des EU- und irischen Rechts kappt."

WhatsApp-"Metadaten" weiter für personalisierte Werbung genutzt? WhatsApp bietet zwar keine personalisierte Werbung an, liefert aber sogenannte "Metadaten" an Facebook und Instagram, die wiederum dort für personalisierte Werbung verwendet werden. Diese Metadaten geben viele Informationen über das Kommunikationsverhalten der Nutzer:innen preis: wer mit wem wann kommuniziert, wer die App wann, wie lange und wie oft nutzt. Während die Kommunikation selbst verschlüsselt ist, werden die Telefonnummern und die zugehörigen Facebook- oder Instagram-Konten der Personen gesammelt. Diese Informationen können dann verwendet werden, um Anzeigen für Nutzer:innen auf anderen Meta-Plattformen wie Facebook und Instagram zu personalisieren. Die Datenschutzbehörde hat sich offenbar geweigert, diesen Kernpunkt der Beschwerde zu untersuchen.

Max Schrems: "WhatsApp sagt, es sei verschlüsselt, aber das gilt nur für den Inhalt von Chats - nicht für die Metadaten. WhatsApp weiß immer noch, mit wem man am meisten und zu welcher Zeit gechattet hat. Diese Information ermöglicht Meta einen sehr genauen Einblick in das soziale Gefüge um eine Person. Meta nutzt diese Informationen, um z. B. gezielt Werbung zu schalten, für die sich bereits Freunde interessiert haben. Die DPC scheint sich einfach geweigert zu haben, in dieser Angelegenheit zu entscheiden - trotz 4,5 Jahre dauernder Untersuchungen"

DPC und Meta kooperierten und wurden vom EDSA überstimmt. Im Laufe des Verfahrens hat sich Meta auf zehn vertrauliche Sitzungen mit der irischen DPC gestützt, in denen die DPC Meta erlaubt hat, diese "Umgehung" zu nutzen. Wie sich später herausstellte, hat die DPC sogar versucht, die einschlägigen EDSB-Leitlinien im Interesse von Meta zu beeinflussen. Die anderen europäischen Datenschutzbehörden lehnten diese Auffassung der DPC intern bereits 2018, 2019 in den Leitlinien und nun erneut in der endgültigen EDSA-Entscheidung im Dezember 2022 ab. Der Fall zog sich über 4,5 Jahre hin und umfasste Hunderte von Seiten an Berichten und Eingaben, obwohl es sich um eine recht einfache Rechtsfrage handelte.

Max Schrems: "In diesem Fall geht es um eine einfache Rechtsfrage. Meta behauptet, die Umgehung der DSGVO sei mit dem Segen der DPC erfolgt. Jahrelang hat die Datenschutzbeauftragte das Verfahren in die Länge gezogen und Meta ermöglicht, die DSGVO zu umgehen, wurde nun aber von den anderen EU-Behörden überstimmt. Es ist insgesamt das sechste Mal in Folge, dass die irische Datenschutzbeauftragte überstimmt wurde. Die DPC hält sich nun aber wohl nicht an den verbindlichen Beschluss und zeigt den anderen Behörden endgültig den Stinkefinger."